Cyberoorlog nieuws 2024 oktober

Hackers verbonden aan de Noord-Koreaanse APT37-groep hebben een nieuwe malware genaamd VeilShell ontwikkeld, die wordt gebruikt in gerichte aanvallen op Zuidoost-Azië, waaronder Cambodja. Deze campagne, genaamd "SHROUDED#SLEEP", werd ontdekt op 3 oktober 2024. De VeilShell backdoor is ontworpen om op afstand volledige controle over geïnfecteerde systemen te krijgen en gevoelige gegevens te stelen. De aanvallen worden uitgevoerd via een geavanceerde techniek waarbij een Windows snelkoppeling (LNK-bestand) wordt gebruikt om malware op een systeem te installeren. Vervolgens kan de malware bij een systeemherstart worden geactiveerd zonder dat de gebruiker iets merkt. De campagne wordt gekenmerkt door lange pauzes tussen de verschillende fasen van de aanval, wat het detecteren bemoeilijkt. Dit incident benadrukt de groeiende dreiging van Noord-Koreaanse cyberaanvallen, waarbij steeds verfijndere methoden worden gebruikt om systemen te compromitteren en langdurige toegang te verkrijgen. 1

In oktober 2024 heeft de pro-Russische hackersgroep NoName meerdere DDoS-aanvallen (Distributed Denial of Service) uitgevoerd op verschillende websites in België. De doelwitten van deze aanvallen waren onder andere de regio’s Wallonië en Vlaanderen, en officiële provinciale websites zoals die van Antwerpen, Limburg, Oost-Vlaanderen en Vlaams-Brabant. Ook de Federatie Wallonië-Brussel en het Belgische Parlement werden getroffen. Een DDoS-aanval zorgt ervoor dat websites onbereikbaar worden door ze te overspoelen met internetverkeer. NoName heeft de verantwoordelijkheid opgeëist voor deze aanvallen, die waarschijnlijk onderdeel zijn van een bredere cybercampagne gericht op westerse instellingen. Dit benadrukt nogmaals de noodzaak voor overheden en organisaties om hun digitale infrastructuur beter te beschermen tegen dergelijke bedreigingen.

Het is belangrijk dat bedrijven en overheidsinstellingen hun beveiligingssystemen voortdurend verbeteren en voorbereidingen treffen om snel te kunnen reageren op dit soort aanvallen. Screenshot

Op 7 oktober, de verjaardag van Vladimir Poetin, voerden pro-Oekraïense hackers een grote cyberaanval uit op de Russische staatsmediaorganisatie VGTRK. De aanval, toegeschreven aan de hackersgroep Sudo rm-RF, leidde tot verstoringen van radio- en tv-uitzendingen. Hoewel VGTRK verklaarde dat er geen blijvende schade was, meldden andere bronnen dat de hackers alle gegevens van de servers hadden gewist, inclusief back-ups. De aanval wordt gezien als een symbolische actie tegen Poetin en maakt deel uit van de voortdurende cyberoorlog tussen Rusland en Oekraïne, die sinds het uitbreken van het conflict in 2022 is geïntensiveerd. Dit incident is slechts een van de vele digitale aanvallen in deze oorlog, waarbij steeds vaker kritieke infrastructuur en gevoelige informatie het doelwit zijn. De Russische overheid heeft aangegeven het incident te onderzoeken en verbindt de aanval met een bredere anti-Russische agenda vanuit het Westen. 1

De Russische cybergroep, bekend als de Russian Cyber Army, heeft geclaimd de website van het Computer Emergency Response Team (CERT) van Nederland te hebben aangevallen met een DDoS-aanval. Deze aanval heeft de site tijdelijk offline gehaald. Een DDoS-aanval, of Distributed Denial of Service, zorgt ervoor dat een website onbereikbaar wordt door deze te overspoelen met dataverkeer. Deze incidenten zijn vaak bedoeld om chaos te creëren of om kritieke systemen tijdelijk plat te leggen. Dit soort aanvallen neemt de laatste tijd toe, vooral in het licht van de geopolitieke spanningen. Nederland is eerder doelwit geweest van dergelijke cyberaanvallen, en experts benadrukken het belang van constante paraatheid en effectieve cyberverdediging om de schade te beperken en de veiligheid van digitale infrastructuren te waarborgen. Screenshot

Op 8 oktober 2024 heeft de hackersgroep NoName de verantwoordelijkheid opgeëist voor een reeks DDoS-aanvallen op verschillende websites in België. Onder de getroffen doelen bevinden zich gemeenten zoals Bever, Ronse, Sint-Genesius-Rode en Spiere-Helkijn, maar ook grotere infrastructuren zoals de havens van Antwerpen-Brugge, Luik en Zeebrugge. Daarnaast was ook de Europese Zeehavenorganisatie een doelwit. DDoS-aanvallen, waarbij servers worden overspoeld met verkeer om ze onbereikbaar te maken, worden vaak ingezet om diensten te verstoren en economische schade te veroorzaken. Hoewel de exacte impact van deze aanvallen nog niet volledig bekend is, benadrukken deze incidenten de groeiende kwetsbaarheid van essentiële infrastructuren voor cyberaanvallen. Lokale autoriteiten en cybersecurity-experts werken samen om de situatie onder controle te krijgen en herhaling te voorkomen. Screenshot

In Duitsland is een enorm kinderpornonetwerk opgerold met honderdduizenden gebruikers wereldwijd. Zes Duitse mannen in de leeftijd van 45 tot 69 jaar zijn opgepakt. Ze worden beschouwd als de belangrijkste financiers van de Duitse tak van het netwerk, waarvan de naam niet is vrijgegeven.

Op het platform op het darkweb, het verborgen deel van internet, stonden miljoenen foto's en video's waarop meisjes seksueel werden misbruikt. Het platform is nu gesloten. Het hoofd van de onderzoekscommissie doet een beroep op alle gebruikers "om hulp te zoeken en berouw te tonen". "Als de politie voor de deur staat, is het te laat."

In september waren al huiszoekingen geweest in zes deelstaten en daarbij is uitgebreid bewijsmateriaal veiliggesteld. De politie nam 1517 voorwerpen in beslag, waaronder laptops en mobiele telefoons. Ook werden 94 verhuisdozen vol video's en dvd's meegenomen.

Op de computer van een van de verdachten werd alleen al 13,5 terabyte aan gegevens gevonden, dat komt neer op 3,4 miljoen foto's.

Volgens minister Reul van Binnenlandse Zaken was het netwerk sinds 2019 in gebruik en was het daarmee "een van de langstbestaande illegale platforms voor het uitwisselen van walgelijke beelden". De verdachten riskeren gevangenisstraffen van tussen de 2 en 15 jaar.

Na dagen van cyberaanvallen gericht op Belgische gemeentelijke websites en havens, lijkt de situatie onder controle. De aanvallen, uitgevoerd door de pro-Russische groep NoName057, veroorzaakten tijdelijke overbelasting van websites, waaronder die van de haven van Antwerpen en verschillende gemeenten. De aanvallen, bekend als DDoS-aanvallen, zijn niet bedoeld om data te stelen, maar om websites onbereikbaar te maken. Volgens het Centrum voor Cybersecurity België vormt dit geen risico voor de komende gemeenteraadsverkiezingen, omdat de stemcomputers offline werken en niet kwetsbaar zijn voor deze aanvallen. 1

De geavanceerde cyberaanvalgroep Awaken Likho, ook bekend als Core Werewolf en PseudoGamaredon, heeft zijn tactieken aangepast om Russische overheidsinstanties en industriële bedrijven te treffen. Sinds juni 2024 maken de aanvallers gebruik van het legitieme MeshCentral-platform in plaats van de eerder gebruikte UltraVNC-module om op afstand toegang te krijgen tot systemen. Deze campagne richt zich met name op overheidsinstanties en hun contractanten, evenals op industriële bedrijven in Rusland. De aanvallen beginnen vaak met spear-phishing, waarbij schadelijke bestanden worden vermomd als Word- of PDF-documenten met dubbele extensies, zoals “docx.exe” of “pdf.exe”. Zodra de bestanden worden geopend, installeert de malware tools die de aanvallers volledige controle over de getroffen systemen geven. De groep, die al sinds 2021 actief is, heeft ook Russische militaire bases en onderzoeksinstituten aangevallen. De recente aanvallen maken gebruik van zelfuitpakkende archieven om de installatie van de kwaadaardige software te verbergen. 1

Een groep pro-Oekraïense hacktivisten, bekend als DumpForums, heeft de verantwoordelijkheid opgeëist voor een cyberaanval op het Russische beveiligingsbedrijf Dr.Web in september 2024. De hacktivisten claimen dat ze toegang hadden tot de ontwikkelsystemen van Dr.Web en daarin ongeveer een maand actief waren. Gedurende deze periode zouden ze ongeveer tien terabyte aan gevoelige gegevens hebben gestolen, waaronder klantendatabases en projectgegevens van systemen zoals GitLab, e-mail en Confluence. Dr.Web bevestigde dat er op 14 september een inbraak plaatsvond, waarna ze hun servers uitschakelden om het incident te onderzoeken. Hoewel de hackers een losgeld eisten, weigert Dr.Web te betalen en ontkent het dat er klantgegevens zijn gestolen. Het bedrijf benadrukte dat de verspreiding van virusdatabases en software-updates geen risico's vormt voor hun gebruikers. Dit incident is onderdeel van een reeks cyberaanvallen gericht op Russische organisaties, waarbij pro-Oekraïense hackers betrokken zijn. 1

De pro-Russische hacktivistengroep NoName heeft op 10 oktober 2024 meerdere Belgische en Oekraïense organisaties getroffen met DDoS-aanvallen. In België waren onder meer Febelfin, verschillende havens (Zeebrugge, Brussel, Antwerpen-Brugge) en het ministerie van Economie doelwit. Ook verschillende kleinere gemeenten zoals Sankt Vith, Zonhoven en Welkenraedt werden aangevallen. In Oekraïne werden overheidsinstanties in de steden Zaporizhzhia en Sumy, evenals de regionale administratie van Dnipropetrovsk, aangevallen. De aanvallen hadden als doel de websites van deze organisaties onbereikbaar te maken door hun servers te overbelasten met grote hoeveelheden verkeer. Dit soort aanvallen maakt deel uit van een bredere campagne van hacktivisten die de afgelopen jaren steeds actiever zijn geworden in het verstoren van kritieke infrastructuur, vooral in de context van geopolitieke spanningen. Het benadrukt de noodzaak voor overheden en bedrijven om hun cyberverdediging te versterken tegen dergelijke bedreigingen.

- Febelfin 🇧🇪
- Sankt Vith 🇧🇪
- Zonhoven 🇧🇪
- Welkenraedt 🇧🇪
- Port of Zeebrugge 🇧🇪
- Port of Brussels 🇧🇪
- Port of Antwerp-Bruges 🇧🇪
- Authorizationortal of Ministry of Economy 🇧🇪
- Zaporizhzhia City Council 🇺🇦
- Information portal of the Sumy City Council 🇺🇦
- Dnipropetrovsk Regional State Administration 🇺🇦

Op 10 oktober 2024 kwam naar voren dat een dreigingsactor mogelijk gevoelige gegevens van het Israëlische Ministerie van Welzijn en Sociale Zaken heeft gelekt. De informatie zou beschikbaar zijn gesteld via een darknet-platform, waar deze te koop werd aangeboden. Het lek bevat vermoedelijk persoonlijke gegevens van burgers en werknemers van het ministerie. Hoewel de omvang van de schade nog niet volledig is vastgesteld, wijst de situatie op een groeiende dreiging voor overheidsinstellingen. De Israëlische autoriteiten zijn een onderzoek gestart om de bron van het lek te achterhalen en om de getroffen personen te beschermen. Dit incident benadrukt nogmaals het belang van robuuste cyberbeveiliging en de noodzaak om gevoelige overheidsgegevens beter te beveiligen tegen cybercriminelen, die steeds verfijndere methoden gebruiken om toegang te krijgen tot kritieke informatie.

Een door Rusland gesteunde desinformatiecampagne probeert Moldavië's pro-Europese koers te ondermijnen voorafgaand aan de presidentsverkiezingen en een referendum over EU-lidmaatschap op 20 oktober. De campagne, genaamd "Lying Pigeon", verspreidt valse informatie over gevoelige onderwerpen zoals LHBTI-rechten, brandstofprijzen, onderwijs en immigratie. Deze berichten worden vooral via e-mail verspreid en bevatten soms ook malware om gevoelige informatie te stelen.

Onderzoek toont aan dat de campagne Russisch is en zich richt op het destabiliseren van Moldavië door angst te zaaien en de uitkomst van de verkiezingen te beïnvloeden. De huidige Moldavische regering, onder leiding van president Maia Sandu, steunt nauwere banden met de EU, maar de Russische invloed vormt een grote bedreiging voor de politieke stabiliteit. Daarnaast zijn er aanwijzingen dat deze desinformatiecampagne ook gericht was op eerdere Europese verkiezingen en internationale bijeenkomsten. Dit benadrukt de bredere cyberdreiging die Europa te wachten staat. 1

Een groep genaamd "NoName" heeft de verantwoordelijkheid opgeëist voor een reeks DDoS-aanvallen op verschillende websites in België. De doelwitten van deze cyberaanvallen zijn onder andere de website van het Vlaams Parlement, de auteursrechtenorganisatie Sabam, en Monato, een financieel platform. Ook de Federatie van Belgische Grafische Ondernemingen (Febelgra) werd getroffen. Een DDoS-aanval (Distributed Denial of Service) legt een website plat door deze te overspoelen met een groot aantal verzoeken, waardoor de site onbereikbaar wordt voor gewone gebruikers. Deze aanval toont aan hoe kwetsbaar belangrijke organisaties en overheidsinstellingen zijn voor digitale verstoringen, en benadrukt de noodzaak van sterke cyberbeveiligingsmaatregelen in België.

- Monato
- Vlaams Parlement
- Sabam
- Febelgra

Een cybercriminele groep, bekend als Anti-NATO, zou via het darkweb gegevens van de Amerikaanse verkiezingscampagne te koop aanbieden. Deze groep beweert toegang te hebben tot gevoelige informatie die te maken heeft met de verkiezingsactiviteiten in de Verenigde Staten. Het is nog onduidelijk hoeveel data precies beschikbaar is en welke impact dit kan hebben op de verkiezingen of betrokken partijen. Dergelijke gegevens kunnen worden gebruikt voor verschillende vormen van manipulatie, van desinformatiecampagnes tot gerichte cyberaanvallen op kandidaten of hun ondersteunende organisaties. De autoriteiten zijn zich bewust van deze dreiging en onderzoeken de oorsprong en ernst van de situatie. Dit incident benadrukt opnieuw de kwetsbaarheid van verkiezingssystemen en de voortdurende bedreigingen waarmee democratische processen te maken hebben in het digitale tijdperk.

In een gezamenlijk rapport hebben de Amerikaanse NSA, FBI en de Britse NCSC gewaarschuwd voor aanhoudende cyber-spionage door de Russische geheime dienst SVR, ook bekend als APT29 of Cozy Bear. Sinds 2021 voert de SVR cyberaanvallen uit op kritieke sectoren zoals defensie, technologie en financiën, voornamelijk gericht op het verzamelen van inlichtingen om de geopolitieke doelen van Rusland te ondersteunen, waaronder de invasie van Oekraïne. De aanvallen richten zich wereldwijd op overheids- en private organisaties, waarbij de SVR gebruikmaakt van geavanceerde technieken zoals spearphishing, wachtwoordaanvallen en supply chain-aanvallen.

De Russische cyberacties blijven moeilijk te traceren door het gebruik van anonieme netwerken zoals TOR. Het rapport benadrukt het belang van snelle beveiligingsupdates, het uitschakelen van ongebruikte diensten en het implementeren van multi-factor authenticatie (MFA) om organisaties te beschermen tegen deze dreigingen. Actieve monitoring en proactieve verdediging blijven essentieel om toekomstige aanvallen te voorkomen. 1

Een platform genaamd "NATOHub" wordt beschuldigd van het verkopen van toegang tot vertrouwelijke Amerikaanse militaire gegevens via het darkweb. Dit illegale aanbod zou gevoelige informatie bevatten, waaronder persoonlijke en operationele dossiers van het Amerikaanse leger. De verkoop van deze gegevens vormt een groot veiligheidsrisico en kan mogelijk ernstige gevolgen hebben voor zowel militaire operaties als individuele militairen. De verkopers bieden deze informatie aan voor een aanzienlijke som geld, wat de groeiende markt voor militaire inlichtingen op de zwarte markt onderstreept. Autoriteiten zijn begonnen met onderzoek om de bron van deze lekken te achterhalen en mogelijke kopers te identificeren. Dit incident benadrukt opnieuw de kwetsbaarheid van militaire systemen voor cyberaanvallen en de noodzaak van versterkte beveiligingsmaatregelen om dergelijke datalekken in de toekomst te voorkomen.

De Iraanse staatsondersteunde hackersgroep APT34, ook bekend als OilRig, heeft zijn activiteiten opgevoerd met nieuwe aanvallen op overheids- en kritieke infrastructuurorganisaties in de Verenigde Arabische Emiraten en de Golfregio. De groep gebruikt hierbij een nieuwe backdoor die gericht is op Microsoft Exchange-servers om inloggegevens te stelen. Daarnaast exploiteren ze een kwetsbaarheid in Windows (CVE-2024-30088) om hun rechten op geïnfecteerde apparaten te verhogen en zo meer controle te krijgen. 1

Onderzoekers hebben ontdekt dat vermoedelijke staatsactoren drie zero-day kwetsbaarheden in de Ivanti Cloud Service Appliance (CSA) misbruiken voor ongeautoriseerde netwerktoegang, het stelen van inloggegevens, en het handhaven van hun aanwezigheid in de netwerken van hun doelwitten. Door deze kwetsbaarheden te combineren, kregen aanvallers toegang tot gebruikersaccounts en probeerden ze hun inloggegevens te bemachtigen. Vervolgens voerden ze geavanceerde aanvallen uit om blijvende toegang te behouden, zoals het installeren van een webshell en zelfs een rootkit op het apparaat.

De aanvallers gingen zelfs zo ver dat ze de kwetsbaarheden “patchten” om te voorkomen dat andere aanvallers dezelfde zwakke punten zouden benutten. Dit toont aan hoe geavanceerd hun methodes zijn, waarbij zij bestaande kwetsbaarheden misbruiken en tegelijk beschermen om verdere indringing te voorkomen. Deze aanvalsmethoden benadrukken de noodzaak voor bedrijven om snel beveiligingsupdates door te voeren en hun systemen actief te monitoren om langdurige schade te voorkomen. 1

China's National Computer Virus Emergency Response Center (CVERC) beweert dat de Verenigde Staten de Volt Typhoon cyberaanvallen hebben verzonnen om hun eigen wereldwijde spionageactiviteiten te verbergen. Volgens de CVERC voert de VS valse vlag-operaties uit om haar eigen cyberaanvallen te verhullen, waarbij ze het gevaar van Chinese cyberdreigingen zou overdrijven. De Chinese autoriteiten beweren dat de VS gebruik maakt van achterdeuren en toeleveringsketenaanvallen om wereldwijd internetgebruikers te bespioneren, en dat de vermeende Volt Typhoon-aanval op een militaire basis op Guam een dekmantel was voor Amerikaanse aanvallen op China en andere Aziatische landen. CVERC stelt dat er "harde bewijzen" zijn voor deze beschuldigingen, maar heeft geen concrete details verstrekt. Daarnaast worden Amerikaanse bedrijven bekritiseerd voor het bedenken van dreigingsnamen met geopolitieke ondertonen, zoals "typhoon" en "panda", om vijandige staten in een kwaad daglicht te stellen. China roept op tot internationale samenwerking in de strijd tegen cyberdreigingen. 1

De SideWinder Advanced Persistent Threat (APT) groep, ook bekend als T-APT-04 of RattleSnake, is sinds 2012 een prominente speler in cyberespionage. Aanvankelijk richtte de groep zich op militaire en overheidsinstellingen in Pakistan, Sri Lanka, China en Nepal. Recentelijk heeft SideWinder echter een aanzienlijke uitbreiding doorgemaakt, zowel geografisch als in de complexiteit van hun aanvallen. Nieuwe campagnes richten zich nu op hooggeplaatste organisaties en strategische infrastructuren in het Midden-Oosten en Afrika, waaronder logistiek, telecommunicatie, oliehandel en universiteiten.

Een belangrijke ontwikkeling is de inzet van het geavanceerde post-exploitatiegereedschap “StealerBot”, dat functies biedt zoals wachtwoorddiefstal, keylogging en het opzetten van een omgekeerde shell voor externe controle. Ondanks het gebruik van schijnbaar eenvoudige infectiemethoden zoals spear-phishing, toont diepgaand onderzoek aan dat SideWinder over aanzienlijke technische expertise beschikt. De voortdurende evolutie en uitbreiding van SideWinder benadrukken de groeiende dreiging die deze APT-groep wereldwijd vormt. 1

Iraanse hackers dringen binnen in organisaties met kritieke infrastructuur om inloggegevens en netwerkdata te verzamelen. Deze informatie wordt vervolgens verkocht op cybercriminele forums, waardoor andere kwaadwillenden aanvallen kunnen uitvoeren. De hackers richten zich op sectoren als gezondheidszorg, overheid, IT, engineering en energie in de VS, Canada en Australië.

Ze gebruiken technieken als bruteforce-aanvallen en het overspoelen van gebruikers met MFA-verzoeken om toegang te krijgen. Eenmaal binnen verzamelen ze meer inloggegevens, verhogen ze privileges en verkennen ze het netwerk. De hackers registreren ook eigen apparaten voor MFA-systemen.

Overheidsinstanties adviseren organisaties om verdachte inlogpogingen en MFA-registraties te monitoren, ongebruikelijke activiteiten in slapende accounts te onderzoeken en te letten op pogingen om gevoelige bestanden te benaderen. Er worden ook mitigaties aanbevolen om de beveiliging tegen deze tactieken te verbeteren. 1, pdf

De FBI, NSA en autoriteiten uit Australië en Canada waarschuwen organisaties in de vitale infrastructuur voor geavanceerde aanvalstechnieken. Hackers maken gebruik van 'password spraying' en 'push bombing' (MFA fatigue) om toegang tot accounts te krijgen. Bij password spraying proberen aanvallers veelgebruikte wachtwoorden op grote schaal. Push bombing omzeilt multifactorauthenticatie door herhaaldelijk inlogpogingen te doen totdat de gebruiker per ongeluk toestemming geeft.

Eenmaal binnen registreren aanvallers hun eigen MFA-apparaten en verplaatsen ze zich lateraal door het netwerk via RDP. Doelwitten zijn onder meer Microsoft 365-, Azure- en Citrix-accounts. Er zijn al succesvolle aanvallen op vitale organisaties geweest.

De autoriteiten adviseren preventieve maatregelen zoals het uitschakelen van accounts van vertrokken medewerkers, monitoren van verdachte inlogactiviteit en het uitschakelen van bepaalde verouderde authenticatiemethoden. 1

Noord-Koreaanse IT-professionals misleiden westerse bedrijven door zich voor te doen als gekwalificeerde werknemers, om vervolgens gevoelige bedrijfsgegevens te stelen. Deze werknemers gebruiken valse of gestolen identiteiten en geavanceerde methoden om hun echte locatie te verbergen, zoals het gebruik van VPN's en proxy's. Zodra hun toegang tot bedrijfsgegevens is beëindigd, sturen ze chantage-e-mails waarin ze dreigen de gestolen gegevens openbaar te maken, tenzij er een groot losgeld in cryptovaluta wordt betaald. Deze werkwijze is onderdeel van een bredere strategie van Noord-Korea om via IT-werkers toegang te krijgen tot bedrijfsinformatie en inkomsten te genereren voor hun wapenprogramma's. Onderzoek toont aan dat deze frauduleuze werknemers samenwerken om elkaar aan te bevelen voor functies, waardoor het probleem zich snel verspreidt. Bedrijven wordt geadviseerd alert te zijn op tekenen van fraude, zoals ongewone betalingsverzoeken en de weigering om videobellen te gebruiken. 1

Japan is recentelijk het doelwit geworden van pro-Russische hacktivisten vanwege zijn toenemende militaire samenwerking met de Verenigde Staten. Twee belangrijke groepen, NoName057(16) en het Russische Cyber Army Team, voerden op 14 oktober 2024 een reeks DDoS-aanvallen uit op Japanse organisaties. Deze aanvallen waren een directe reactie op Japan's deelname aan door de VS geleide militaire allianties en zijn stijgende defensiebudget. De aanvallen richtten zich voornamelijk op bedrijven in de logistieke en productie-industrie, met een focus op havens en scheepsbouw. Ook politieke en overheidsinstanties, waaronder de partij van de nieuw gekozen premier, werden getroffen.

De aanvalsmethoden waren veelzijdig, waaronder verschillende soorten TCP-flooding en HTTP-gebaseerde aanvallen. Hoewel deze aanvallen tot nu toe geen grote verstoringen hebben veroorzaakt, benadrukken ze de toenemende dreiging van cyberoorlogvoering in geopolitieke conflicten. Het implementeren van effectieve detectie- en mitigatiestrategieën blijft cruciaal.

Bron: 1

De hackersgroep UAT-5647, vermoedelijk verbonden aan Russische actoren, voert gerichte aanvallen uit op Oekraïense en Poolse overheidsinstellingen. Hierbij wordt de RomCom-malware ingezet, die is ontworpen om toegang te krijgen tot gevoelige gegevens en deze te exfiltreren. Het huidige campagnepatroon toont een tweevoudige strategie: eerst het stelen van data, gevolgd door mogelijke ransomware-aanvallen om de schade te maximaliseren. Deze malware wordt verspreid via spear-phishing e-mails die de systemen infiltreren met downloaders zoals RustClaw en MeltingClaw. Eenmaal binnen gebruiken ze achterdeuren zoals ShadyHammock en DustyHammock om onopgemerkt te blijven en verdere schade aan te richten. Deze tactieken worden versterkt door het gebruik van legitieme tools zoals PuTTY’s Plink om beveiligingsmaatregelen te omzeilen. De aanvallen zijn nauwkeurig gericht op systemen die Oekraïense, Poolse of Russische toetsenbordinstellingen gebruiken, wat wijst op een goed doordachte en geopolitiek gemotiveerde aanval.

Bron: 1

De hacktivistengroep Crypt Ghouls, die Russische bedrijven en overheidsinstellingen met ransomware aanvalt, toont sterke gelijkenissen met andere bekende groepen zoals MorLock en BlackJack. Deze groepen delen niet alleen dezelfde technieken en hulpmiddelen, maar ook delen van hun infrastructuur. Crypt Ghouls maakt gebruik van een reeks tools, waaronder Mimikatz, XenAllPasswordPro en PingCastle, om inloggegevens te stelen en toegang te behouden tot hun doelwitten via VPN-verbindingen en kwetsbare systemen.

Het einddoel van deze aanvallen is vaak het inzetten van ransomware, zoals LockBit 3.0 en Babuk, om gegevens te versleutelen en bedrijven te verstoren. De aanvallen maken gebruik van technieken zoals DLL-sideloading en het dumpen van de NTDS.dit-database. Crypt Ghouls richt zich ook op ESXi-servers en gebruikt SSH om virtuele machines te versleutelen.

Door de overeenkomsten met andere hacktivistengroepen concluderen onderzoekers dat Crypt Ghouls waarschijnlijk deel uitmaakt van een groter netwerk van cybercriminelen.

Bron: 1

Een senior medewerker van het Pentagon, Ariane Tabatabai, wordt ervan verdacht geclassificeerde documenten te hebben gelekt over Israëls militaire plannen om Iran aan te vallen. De gelekte documenten zouden gedetailleerde informatie bevatten over Israëls geheime militaire activiteiten, waaronder een geplande vergeldingsaanval na de recente Iraanse aanval op Israël.

Dit veiligheidslek wordt momenteel onderzocht door de FBI. Het incident wordt gezien als een ernstige schending van vertrouwelijke informatie met mogelijk grote gevolgen voor de veiligheid in het Midden-Oosten. De onthulling van dergelijke gevoelige plannen kan de militaire strategie van Israël ondermijnen en de regionale spanningen verder doen oplopen.

Het lek roept ook vragen op over de beveiliging van gevoelige informatie binnen het Amerikaanse ministerie van Defensie en de mogelijke gevolgen voor de relatie tussen de VS en Israël.

Bron: 1

Hackers die Hezbollah steunen, hebben een cyberaanval uitgevoerd op ziekenhuizen in Noord-Israël, met als doel disinformatie te verspreiden op sociale media. Dit gebeurde na een Israëlische luchtaanval op een Hezbollah-ziekenhuis in Beiroet. De aanvallers verspreidden valse beweringen dat Israëlische ziekenhuizen, zoals het Carmel Medisch Centrum in Haifa en het Assuta Ziekenhuis, wapens en munitie zouden verbergen. Deze desinformatie leidde tot oproepen om raket- en droneaanvallen op de medische instellingen uit te voeren. Er is echter geen bewijs dat deze ziekenhuizen daadwerkelijk militaire uitrusting herbergen. De aanval lijkt een reactie te zijn op een operatie van de Israëlische Defensiemacht (IDF), waarbij een bunker met geld en goud onder het Al-Sekal ziekenhuis in Beiroet werd geraakt.

Bron: 1

Een Russische cybertaskforce heeft aangekondigd zich te richten op Zuid-Korea onder de codenaam 'OpSouthKorea'. Deze operatie lijkt gericht op het verstoren van belangrijke Zuid-Koreaanse infrastructuur en wordt uitgevoerd in het kader van een breder scala aan cyberaanvallen die door Russische actoren wereldwijd worden opgezet. Het is nog onduidelijk welke specifieke doelen in Zuid-Korea zijn aangevallen of wat de exacte impact is van de operatie. Desalniettemin benadrukken experts dat dit soort cyberaanvallen ernstige risico's met zich meebrengen voor zowel overheidsinstellingen als bedrijven, waarbij zowel de nationale veiligheid als de economie gevaar lopen. De aanval maakt deel uit van een toenemende dreiging van statelijke actoren die cyberoorlogvoering gebruiken om geopolitieke belangen te bevorderen. Het advies aan organisaties is om waakzaam te blijven en hun cyberverdediging te versterken.

De Noord-Koreaanse hackersgroep Lazarus heeft een Google Chrome zero-day kwetsbaarheid (CVE-2024-4947) uitgebuit via een nep DeFi-game gericht op cryptovaluta-gebruikers. Kaspersky ontdekte de aanvallen in mei 2024 na het vinden van nieuwe malware op een computer in Rusland. De hackers gebruikten een website genaamd "detankzone.com" die een NFT-gebaseerd tankspel promootte. Dit spel bleek gestolen broncode te bevatten van een legitiem spel genaamd DeFiTankLand.

Via een verborgen script op de website werd de Chrome-kwetsbaarheid uitgebuit, waardoor de aanvallers toegang kregen tot cookies, wachtwoorden en browsergeschiedenis. De aanvallers konden ook de V8-sandbox van Chrome omzeilen voor remote code execution. Het uiteindelijke doel was waarschijnlijk het stelen van cryptovaluta van slachtoffers. Google heeft inmiddels een patch uitgebracht voor de kwetsbaarheid in Chrome versie 125.0.6422.60/.61.

Bron: 1

Russische staatsmedia verspreiden valse verhalen op sociale media over de Amerikaanse regering en hun aanpak van de orkanen Helene en Milton. Dit gebeurt in aanloop naar de Amerikaanse presidentsverkiezingen, zo blijkt uit nieuw onderzoek van het Institute for Strategic Dialogue (IDS). De desinformatiecampagne is bedoeld om het Biden-Harris bestuur te ondermijnen en wantrouwen te zaaien onder Amerikaanse kiezers.

De Kremlin-gelinkte accounts gebruiken bestaande discussies en frustraties van Amerikaanse burgers om hun boodschap te versterken. Ze beschuldigen de regering van administratief falen, een inadequate respons van FEMA en het prioriteren van buitenlandse hulp boven Amerikaanse burgers. Onder meer een AI-gegenereerde meme van een ondergelopen Disneyland werd massaal verspreid.

De valse berichten hebben geleid tot doodsbedreigingen tegen FEMA-medewerkers. Daarnaast zijn er deepfake video's in omloop gebracht over vicepresident Harris. Een nepvideo over Tim Walz kreeg binnen 24 uur meer dan 5 miljoen views op X.

Bron: 1

Op 25 oktober 2024 om 08:53 werd de Israëlische Knesset het doelwit van een geavanceerde ransomware-aanval, uitgevoerd door de Hellcat-groep. De Knesset, die functioneert als het parlement van Israël en een cruciale rol speelt in de publieke sector, zag haar beveiligde netwerken doorbroken. De aanvallers beweerden 64GB aan gevoelige gegevens te hebben bemachtigd, waaronder interne communicatie en vertrouwelijke documenten.

Deze aanval benadrukt de toenemende dreiging van ransomware-aanvallen op overheidsinstellingen, waarbij vitale informatie gestolen kan worden met mogelijk grote gevolgen voor de nationale veiligheid en het vertrouwen in de publieke sector. Hellcat, een bekende naam binnen de cybercriminele wereld, richt zich vaker op publieke en overheidsinstellingen om druk uit te oefenen voor losgeld. De Israëlische autoriteiten werken inmiddels aan een grondig onderzoek om de omvang van de aanval vast te stellen en de gevolgen zoveel mogelijk te beperken.

Volgens een recent rapport van The Wall Street Journal heeft de Amerikaanse techmagnaat Elon Musk sinds eind 2022 regelmatig contact met de Russische president Vladimir Poetin. Verschillende Amerikaanse, Europese en Russische functionarissen bevestigen dat de twee mannen persoonlijke onderwerpen, zakelijke belangen en geopolitieke kwesties bespreken.

Zo zou Poetin Musk hebben verzocht om Starlink-satellieten niet boven Taiwan te activeren, als gunst aan de Chinese president Xi Jinping. Dit verklaart mogelijk waarom Starlink niet beschikbaar is in Taiwan. Hoewel Musk aanvankelijk Oekraïne gratis toegang gaf tot Starlink na de Russische invasie, verslechterde deze relatie later. De financiering werd stopgezet en het Pentagon moet nu terminals kopen van SpaceX.

Opmerkelijk is dat Musk sinds het begin van zijn vermeende gesprekken met Poetin standpunten begon te herhalen die overeenkomen met die van Moskou, zoals zijn uitspraken over referenda in bezette gebieden en de erkenning van de Krim als Russisch grondgebied. Deze contacten roepen vragen op over mogelijke nationale veiligheidsrisico's, gezien Musks toegang tot gevoelige Amerikaanse militaire informatie.

Bron: 1

Een cybercrimineel beweert de database van artsen van het Israëlische Ministerie van Volksgezondheid te hebben gehackt en gelekt. De gestolen informatie omvat volledige namen, geboortedata, gegevens over universiteiten en afstudeerdata, details van hun werkplek, contactgegevens, cv-informatie en academische achtergrond. Deze database met gevoelige informatie wordt nu op een forum op de darkweb aangeboden voor verkoop.

Dit incident benadrukt de aanhoudende dreiging van cyberaanvallen gericht op de publieke sector en gezondheidsinstanties. Het ministerie onderzoekt het lek en werkt mogelijk aan maatregelen om verdere schade te beperken. Dit soort datalekken vergroot niet alleen de veiligheidsrisico's voor de betrokken individuen, maar zet ook extra druk op overheden om cyberbeveiligingsprotocollen te versterken.

De Oekraïense CERT (CERT-UA) heeft een nieuwe golf van cyberaanvallen ontdekt, uitgevoerd via schadelijke Remote Desktop Protocol (RDP)-bestanden, die zijn gericht op overheidsinstellingen, bedrijven en militaire instanties. Zodra slachtoffers de kwaadaardige RDP-bestanden openen, krijgen de aanvallers toegang tot het systeem, waarmee zij gegevens kunnen stelen en extra malware kunnen installeren. Deze campagne wordt toegeschreven aan de Russische APT-groep APT29, die zich via nepdomeinen voordeed als Amazon AWS. Oekraïense gebruikers worden tevens gewaarschuwd voor andere phishing-aanvallen die vertrouwelijke gegevens stelen via geïnfecteerde e-mails en bestandsbijlagen.

Bron: 1

PayXpress, een Israëlisch bedrijf dat gespecialiseerd is in digitale betalingsoplossingen, is op 27 oktober 2024 slachtoffer geworden van een aanval door de Ransomhub-groep. PayXpress biedt gebruiksvriendelijke en beveiligde online transactiediensten voor bedrijven en consumenten, en staat bekend om zijn sterke beveiligingsfuncties die betalingen efficiënter en klantvriendelijker maken.

De aanval heeft mogelijk gevoelige klantgegevens en financiële informatie blootgesteld, wat de veiligheid van hun digitale betalingsplatform in gevaar brengt en aanzienlijke gevolgen kan hebben voor hun klanten. De aanval benadrukt de risico’s waarmee de financiële dienstensector wordt geconfronteerd in het huidige cyberlandschap.

Chinese hackers, vermoedelijk verbonden aan de groep Salt Typhoon, hebben de Amerikaanse telecommunicatie-infrastructuur geïnfiltreerd en zich gericht op de communicatie van prominente politieke figuren. Onder andere telefoongegevens van oud-president Donald Trump, senator JD Vance en medewerkers van vicepresident Kamala Harris zouden mogelijk zijn onderschept. Dit incident, enkele weken voor de Amerikaanse presidentsverkiezingen, wordt gezien als onderdeel van een grootschalige spionageoperatie.

Volgens FBI en CISA richt deze hackcampagne zich breed op gevoelige gegevens binnen de Amerikaanse telecomsector, met potentieel blootgestelde belgegevens, tekstberichten en contactdetails. Salt Typhoon staat erom bekend dergelijke operaties onopgemerkt uit te voeren en telecommunicatiebedrijven te infiltreren. De Amerikaanse autoriteiten werken intensief samen met getroffen bedrijven en stimuleren mogelijke slachtoffers om zich te melden voor ondersteuning. FBI en CISA blijven nauw samenwerken met de industrie om verdere aanvallen af te slaan en de cyberbeveiliging te versterken.

Bron: 1

Volgens een recent rapport van Intrinsec gebruikt China systematisch cybersecurity-kwetsbaarheden als onderdeel van zijn nationale strategie. Door middel van de "Regulation on the Management of Network Product Security Vulnerabilities" (RMSV) centraliseert de overheid controle over kwetsbaarheden. Bedrijven zijn verplicht om ontdekte kwetsbaarheden binnen 48 uur te melden en te herstellen, waarmee China sneller reageert dan veel internationale standaarden. Onderzoekers moeten kwetsbaarheden indienen bij nationale databases, zoals de China National Vulnerability Database (CNVD), die vaak in verband wordt gebracht met staatsgebruik.

Dit systeem stelt China in staat om zowel bescherming tegen cyberdreigingen te bieden als om mogelijke kwetsbaarheden op te slaan voor toekomstige cyberoperaties. Door deze aanpak beheerst China de kennisuitwisseling over kwetsbaarheden en beperkt het de deelname van onderzoekers aan internationale fora, wat bijdraagt aan de opbouw van nationale expertise. Intrinsec concludeert dat China hiermee zijn cyberbeleid inzet om zowel binnenlandse veiligheid te vergroten als internationale invloed uit te oefenen.

Bron: 1

SEQRITE Labs heeft onlangs een cyber-espionagecampagne, genaamd Operation Cobalt Whisper, onthuld. Deze geavanceerde aanval, toegeschreven aan een onbekende APT-groep, richt zich op kritieke sectoren in Pakistan en Hong Kong, waaronder defensie, technische wetenschappen en academische instellingen. De aanvallers maken gebruik van de krachtige post-exploitation tool Cobalt Strike, die via geobfusceerde VBScript-bestanden wordt ingezet.

Met meer dan twintig infectieketens en dertig lokaasbestanden, waaronder PDF's met uitnodigingen voor prestigieuze evenementen, proberen de aanvallers toegang te krijgen tot doelwitten. Een typisch lokaasbestand start een batchscript, waardoor een achterdeur in het systeem ontstaat die voortdurende toegang biedt aan de aanvallers. Hierdoor kunnen zij gevoelige gegevens inzien en exploiteren.

SEQRITE adviseert bedrijven in deze sectoren om multi-factor authenticatie te activeren, antivirusprogramma’s bij te werken en onbekende links te vermijden om deze dreiging tegen te gaan.

Bron: 1

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), Pieter-Jaap Aalbersberg, waarschuwt in het nieuwste Cybersecuritybeeld Nederland dat landen als Rusland en China hun cyberaanvallen op Nederland hebben opgevoerd. Deze aanvallen zijn niet alleen gericht op spionage, maar ook op sabotage. Rusland en China maken steeds vaker gebruik van hackerscollectieven, bedrijven en universiteiten voor datadiefstal, chantage en sabotage.

Aalbersberg benadrukt dat Chinese inlichtingendiensten de intensiteit van cyberoperaties op westerse doelen voortdurend verhogen. Een recent voorbeeld is een digitale aanval op militaire en civiele watervoorzieningen in de Verenigde Staten. Chinese hackers toonden hierbij niet alleen interesse in spionage, maar mogelijk ook in sabotage. Dit soort aanvallen wijst erop dat de Chinese cybersabotagecapaciteiten snel groeien, met potentiële wereldwijde impact.

De NCTV merkt op dat meerdere landen hun cyberaanvallen complexer en sneller maken, wat de digitale veiligheid van Nederland verder onder druk zet.

Bron: 1

Later meer hierover op Cybercrimeinfo artikelen

De Russische cybergroep UNC5812 voert een hybride spionage- en beïnvloedingscampagne uit tegen Oekraïense rekruten door middel van schadelijke software voor Windows en Android. De aanval maakt gebruik van een valse “Burgerbeschermings”-identiteit, met een eigen website en Telegram-kanaal, om Oekraïense gebruikers te misleiden. De aangeboden app, genaamd “Sunspinner,” lijkt hen te helpen rekruteringslocaties te vermijden, maar installeert in werkelijkheid spyware.

Op Windows installeert de app de "Pronsis Loader," die verdere schadelijke software downloadt, waaronder de wachtwoorddief “PureStealer.” Op Android installeert de app CraxsRAT, een tool die toegang geeft tot de locatie, audiogesprekken, contacten en berichten van het slachtoffer. Gebruikers worden aangemoedigd om Google Play Protect uit te schakelen, waardoor de malware ongehinderd kan opereren. Google heeft maatregelen genomen om deze campagne te blokkeren, maar de aanval benadrukt de blijvende dreiging vanuit Rusland op het gebied van cyberoorlog.

Bron:1

Een reeks Britse gemeentelijke websites is onlangs getroffen door DDoS-aanvallen, waarbij de cybergroep NoName de verantwoordelijkheid claimt. Tot de doelwitten behoren de websites van verschillende gemeenteraden, waaronder Lewes, Medway, South West, Plymouth, Exeter en Burnley. Bij een DDoS-aanval wordt een netwerk of server overbelast met verkeer, waardoor de website moeilijk bereikbaar is voor gebruikers. Deze aanvallen worden vaak ingezet om de functionaliteit van websites tijdelijk te verstoren en aandacht te vestigen op de actiegroep.

De aanval benadrukt de toenemende dreiging van cyberaanvallen op lokale overheidsinstellingen, die vaak beschikken over beperkte middelen voor cybersecurity. Deze incidenten onderstrepen het belang voor gemeentelijke en andere openbare instellingen om robuuste cyberbeveiligingsmaatregelen te treffen om diensten te beschermen tegen dergelijke aanvallen. Het versterken van digitale weerbaarheid blijft een essentieel aspect van cybersecurity in de publieke sector.

De Noord-Koreaanse hackergroep Jumpy Pisces, ook bekend als Andariel, werkt voor het eerst samen met de beruchte ransomware-groep Play, wat een nieuwe fase in cyberdreigingen inluidt. Deze aanvallen, die plaatsvonden tussen mei en september 2024, werden uitgevoerd met het doel om aanzienlijke financiële winsten te behalen. Door een gecompromitteerd account binnen te dringen, verwierven de aanvallers toegang tot gevoelige systemen. Hierbij maakten zij gebruik van het Sliver-command-and-control framework en de backdoor Dtrack om langdurige toegang te behouden.

Nadat zij controle hadden verkregen, schakelden de aanvallers beveiligingssoftware uit en voerden zij geavanceerde technieken uit om hun aanwezigheid te verbergen. Uiteindelijk werd de Play-ransomware ingezet om schade te veroorzaken. Het blijft onduidelijk of Andariel als affiliate van Play opereert of slechts netwerktoegang verkocht. Deze samenwerking onderstreept een gevaarlijke ontwikkeling waarbij door staten gesponsorde hackgroepen zich richten op financieel gewin via ransomware.

Bron: 1